Bedrijf dat leeftijdsverificatie regelt krijgt AVG-boete van bijna 1 miljoen euro

maandag, 16 maart 2026 (16:52) - Security.NL

In dit artikel:

De Spaanse privacytoezichthouder AEPD heeft leeftijdsverificatiebedrijf Yoti bijna één miljoen euro boete opgelegd wegens meerdere overtredingen van de AVG. De toezichthouder startte op eigen initiatief een onderzoek naar de digitale identiteits-app van Yoti. Voor het gebruik van die app moeten mensen een kopie van hun identiteitsbewijs en een selfie uploaden; de dienst rapporteert daarna alleen of iemand ouder of jonger is dan een bepaalde leeftijd, zonder de volledige geboortedatum door te geven. Yoti bewaarde deze attributen echter in een Brits datacentrum en zou ze na verificatie verwijderen.

Naast deze kernfunctie ondersteunt Yoti ook handmatige controles, gezichtsscans, creditcardverificatie en databasechecks. Daarbij werd een breed scala aan persoonsgegevens verwerkt: documentafbeeldingen, selfies, gezichtsdata, telefoonnummers, creditcard- en adresgegevens, plus technische metadata zoals IP-gebaseerde locatie, verificatielogs en tijdstempels. Bij handmatige controles konden medewerkers in India op afstand toegang krijgen tot de Britse servers; sommige afbeeldingen werden tot 28 dagen bewaard.

De AEPD concludeerde dat Yoti meerdere AVG-bepalingen schond. Het bedrijf verwerkte biometrische gegevens voor gezichtsherkenning zonder voor alle verwerkingsdoelen geldige toestemming. Verder combineerde Yoti verschillende verwerkingsdoelen in één toestemmingsverzoek en maakte het R&D-gebruik van biometrische data verplicht voor gebruikers die de dienst wilden blijven gebruiken — waardoor de toestemming volgens de AEPD niet vrijelijk was gegeven. Ook was de informatie over het verwerken van gevoelige biometrische data onvoldoende gedetailleerd en werden persoonsgegevens te lang bewaard; Yoti kon niet aantonen dat het systematisch gegevens verwijderde na verificatie.

De boetes zijn opgesplitst: €500.000 voor het onrechtmatig verwerken van bijzondere persoonsgegevens, €250.000 voor te lange bewaartermijnen en €200.000 voor tekortkomingen rond geldige toestemming. Yoti heeft aangegeven tegen de boete in beroep te gaan.

Context: onder de AVG worden biometrische gegevens die worden gebruikt voor identiteitsbepaling als bijzondere categorie van persoonsgegevens gezien en vereisen zij een sterkere rechtsgrond; toestemming moet vrij, specifiek en geïnformeerd zijn, en gegevens mogen niet langer worden bewaard dan noodzakelijk voor het doel.